2018年3月のウイルスレビュー

2018年4月3日

株式会社Doctor Web Pacific

3月には、Doctor Webのスペシャリストによって新たな悪意のあるプログラムが多数発見されました。3月の初めには、Mail.Ruからのものを装った大量のフィッシングメールが検出され、 Trojan.LoadMoney ファミリーに属する新たなトロイの木馬が複数発見されています。3月中旬には、 Trojan.PWS.Stealer.23012 と呼ばれる危険なトロイの木馬が検出されました。このトロイの木馬は感染したデバイスからファイルやその他の機密情報を盗みます。そのほか、3月にはGoogle Androidを標的とした幅広い悪意のあるプログラムが検出されています。

3月の脅威

2018年3月11日、サイバー犯罪者が悪意のあるプログラムへのリンクをYouTube動画のコメント内で公開し、 Trojan.PWS.Stealer.23012 の拡散が始まりました。それら動画の多くは、特別なアプリケーションを使用した、ゲームでのチーティング方法 (いわゆる「チート行為」) に関するものです。サイバー犯罪者はトロイの木馬をそのようなアプリケーションやその他の便利なユーティリティとして拡散させようとしています。

このトロイの木馬は感染したコンピューター上のCookieファイルのほか、一般的な複数のブラウザからログイン認証情報を盗み、また、スクリーンショットを作成し、Windowsデスクトップからファイルをコピーします。収集された情報は、感染したデバイスの位置情報に関するデータと一緒にサイバー犯罪者のサーバーに送信されます。この脅威に関する詳細については、こちらの記事をご覧ください。

Dr.Web Anti-virusによる統計

Trojan.Starter.7394

感染させたシステム内で、特定の悪意のある機能を持った実行ファイルを起動させることを主な目的としたトロイの木馬です。

Trojan.Inject

他のプログラムのプロセス内に悪意のあるコードを挿入する、悪意のあるプログラムのファミリーです。

Trojan.Zadved

ブラウザウィンドウ内に偽の検索結果を表示させ、ソーシャルネットワーキングサイトのものを模倣したポップアップメッセージを表示させるトロイの木馬です。また、様々なインターネットリソース上に表示される広告を置き換えることができます。

Trojan.Moneyinst.520

他のトロイの木馬を含むさまざまなソフトウェアを被害者のコンピューター上にインストールする悪意のあるプログラムです。

Trojan.Encoder.11432

被害者のコンピューター上で危険なランサムウェア型トロイの木馬を起動させるネットワークワームです。 WannaCryとしても知られています。

Doctor Web統計サーバーによる統計

BackDoor.Meterpreter.56

サイバー犯罪者が感染したコンピューターを遠隔操作し、様々なコマンドを送信することを可能にするマルウェアファミリーに属する亜種です。

JS.Inject

JavaScriptで書かれた悪意のあるスクリプトのファミリーで、ウェブページのHTMLコードに悪意のあるスクリプトを挿入します。

BackDoor.IRC.Bot.4771

サイバー犯罪者が感染したコンピューターを遠隔操作し、様々なコマンドを送信することを可能にするマルウェアファミリーに属する亜種です。このトロイの木馬は IRC(Internet Relay Chat) テキストメッセージプロトコル経由でコントロールされます。

Trojan.Encoder.11432

被害者のコンピューター上で危険なランサムウェア型トロイの木馬を起動させるネットワークワームです。 WannaCryとしても知られています。

JS.DownLoader

JavaScriptで書かれた悪意のあるスクリプトのファミリーで、別の悪意のあるプログラムをコンピューター上にダウンロード・インストールするよう設計されています。

メールトラフィック内で検出された脅威の統計

JS.Inject

JavaScriptで書かれた悪意のあるスクリプトのファミリーで、ウェブページのHTMLコードに悪意のあるスクリプトを挿入します。

Trojan.Encoder.24788

ファイルを暗号化し、データを復元するために身代金を要求する暗号化ランサムウェアトロイの木馬ファミリーに属する悪意のあるプログラムです。

Java.Jrat.58

リモートでコンピューターをコントロールするマルウェア(リモートアクセスツール、RAT)です。この悪意のあるプログラムはJavaで書かれています。

Trojan.PWS.Stealer

感染したコンピューター上に保存されているパスワードやその他の個人情報を盗むよう設計されたトロイの木馬ファミリーです。

暗号化ランサムウェア

2018年3月には、以下のランサムウェアによる被害を受けたユーザーからDoctor Webテクニカルサポートサービスに対するリクエストがありました。

• Trojan.Encoder.858 — リクエストの15.38%
• Trojan.Encoder.11464 — リクエストの7.26%
• Trojan.Encoder.11539 — リクエストの6.62%
• Trojan.Encoder.24249 — リクエストの5.77%
• Trojan.Encoder.567 — リクエストの3.63%
• Trojan.Encoder.2667 — リクエストの2.35%

危険なWEBサイト

3月初旬、Mail.Ruからのものを装ったフィッシングメールの大量配信が確認されました。これらのメールの内容は、Mail.Ruサーバー上でアカウントがブロックされているとユーザーに警告し、再度承認を行うよう提案するものでした。メールに記載されたリンクは偽のMail.Ruサイトにつながるもので、ユーザーが入力した情報は即座にサイバー犯罪者へ送信されるようになっています。

偽サイトのアドレスはDr.Web OfficeおよびParental Controlのデータベースに追加されました。

2018年3月に非推奨サイトとしてDr.Webデータベースに追加されたURLの数は624,474件となっています。

情報セキュリティに関するその他のイベント

感染させたコンピューター上に他の危険なアプリケーションをダウンロードする Trojan.LoadMoney トロイの木馬ファミリーは2013年より知られています。3月、Doctor Webのウイルスアナリストは、この Trojan.LoadMoney ファミリーの新たな複数の亜種について調査を行いました。ウイルス開発者は悪意のあるコードに視覚的な特徴を与えていないため、これらトロイの木馬はいずれも感染したシステム内で姿を現しません。そのため、その悪意のある活動を検出することは困難です。この脅威に関する詳細については、こちらの記事をご覧ください。

モバイルデバイスを脅かす悪意のある、または望まないプログラム

3月、Doctor Webのスペシャリストは、40を超えるモデルのAndroidスマートフォンでファームウェア内に埋め込まれていた Android.Triada.231 に関する調査の結果を公表しました。 Android.Triada.231 はあらゆるアプリケーションのプロセスを感染させ、悪意のある様々な動作を密かに実行します。3月には、新たなトロイの木馬が多数Google Play上で検出されました。それらの中には、あらゆるWebページを読み込み、表示することのできる Android.Click ファミリーに属する亜種が含まれています。そのほか、 Android.BankBot.344.origin も検出されています。また、 Android.BankBot.149.origin のソースコードを基に作成された新たなバンキング型トロイの木馬も発見され、そのうちの1つは Android.BankBot.325.origin と名付けられました。このトロイの木馬はフィッシングウィンドウを表示させ、サイバースパイ行為を実行し、サイバー犯罪者が感染したデバイスにリモートでアクセスすることを可能にします。

3月の注目に値するモバイルマルウェアに関するイベントは以下のとおりです。

• Androidスマートフォンの数十のモデルでトロイの木馬を検出
• 新たなバンキング型トロイの木馬の登場
• Google Play上で悪意のあるプログラムを検出

モバイルデバイスを標的とする悪意のある・望まないプログラムに関する詳細はこちらの記事をご覧ください。